Guide pratique de migration post-quantique pour les OIV : par où commencer

Engager une migration post-quantique sur une infrastructure critique peut sembler complexe. En pratique, elle se décompose en étapes méthodiques que tout RSSI peut mener avec les bons outils et partenaires. Ce guide présente une approche structurée, applicable à l'ensemble des 249 OIV français et aux entités essentielles sous NIS2.

Étape 1 — Inventaire cryptographique

La première étape consiste à identifier tous les flux réseau chiffrés : interconnexions de datacenters, VPN site-à-site, flux de supervision SCADA, réplication de bases de données, liens télécoms. Pour chaque flux, trois informations sont nécessaires : quel algorithme est utilisé, quelle longueur de clé est configurée, et quelle est la durée de confidentialité requise pour les données transportées.

Les outils nécessaires sont disponibles : scanners de protocoles réseau, audit des configurations pare-feu et VPN, analyse des certificats en circulation. L'objectif est de produire une cartographie exhaustive de l'utilisation de la cryptographie dans l'infrastructure.

Étape 2 — Priorisation par risque HNDL

Les flux à traiter en priorité sont ceux dont la durée de confidentialité est la plus longue. Un flux de supervision temps réel avec une durée de confidentialité de 24 heures est moins urgent qu'une réplication de sauvegarde contenant des données sensibles à conserver 20 ans.

La matrice de priorisation croise trois dimensions : durée de confidentialité des données, sensibilité intrinsèque des données, et criticité opérationnelle du flux. Les flux situés dans le quadrant critique (longue durée de confidentialité, haute sensibilité, haute criticité) constituent le périmètre prioritaire de la migration.

Étape 3 — Identification des équipements à remplacer

Les équipements réseau qui ne supportent pas les algorithmes post-quantiques ne peuvent pas être migrés par simple mise à jour logicielle. Il faut les identifier et planifier leur remplacement.

Les critères d'évaluation sont : support de TLS 1.3 avec groupes hybrides, support d'IKEv2 avec RFC 9370 (échanges de clés multiples), et possibilité de mise à jour du firmware pour les algorithmes NIST. Les équipements qui ne remplissent aucun de ces critères doivent être remplacés.

Cette étape est souvent la plus longue en termes d'approvisionnement. Les délais de livraison et de qualification de nouveaux équipements réseau peuvent atteindre plusieurs mois. Il est recommandé de lancer les consultations dès que l'inventaire est stabilisé.

Étape 4 — Déploiement progressif

Commencer par les interconnexions les plus critiques et les plus simples à traiter (point-à-point entre deux datacenters contrôlés). Étendre progressivement aux sites distants, puis aux terminaisons SCADA et aux liens partenaires.

Règle fondamentale : ne jamais couper un flux sans avoir validé le remplacement en parallèle. Le déploiement doit être réversible à chaque étape. Les procédures de retour en arrière doivent être documentées et testées avant chaque bascule.

Chaque vague de déploiement doit être suivie d'une période de stabilisation (typiquement 1 à 2 semaines) pendant laquelle les performances, la compatibilité applicative et la stabilité opérationnelle sont validées.

Étape 5 — Certification et documentation

Pour les OIV soumis à audit ANSSI, il est essentiel de constituer un dossier de conformité complet : référence aux certifications des produits déployés, description des algorithmes et des niveaux de sécurité, journaux de rotation des clés, procédures de réponse à incident cryptographique.

Ce dossier doit être maintenu à jour et accessible pour les audits. Il constitue la preuve de la diligence de l'opérateur face à la menace quantique et aux exigences réglementaires NIS2 et LPM.

Délai réaliste

Les opérateurs qui commencent aujourd'hui peuvent être conformes avant 2028. Ceux qui attendent 2030 ne le seront pas avant 2033 — un calendrier incompatible avec les obligations réglementaires et les estimations du risque quantique.